[FUG-BR] [OT] Duvidas no Snort

[Paulo Henrique]

Creio que você se complicou quanto a direção

na HOME_NET quer dizer todo trafego de origem em 192.168.0.0 será
tratado por ela,
em EXTERNAL_NET  é o trafego com origem da internet para a sua rede no
qual será encaixada,
Voce pode criar uma DMZ_NET para tratar o trafego apenas entre os seus
servidores, SNORT não passa mais de um Firewall com mais recursos que
um IPFW ou PF, se colocar o SNORT_INLINE terá ainda mais controle
sobre o trafego.

2010/1/5 Diogo Dalfovo <b1n4r1w0rm em gmail.com>:
> Bom dia Senhores.
>
> Instalei o Snort com Flexresp2 e tudo mais. Minha duvida é a seguinte:
>
> Instalei ele no gateway da rede(firewall) e nele tenho um nat 1:1 (binat do
> PF) apontando para meu servidor de email e tambem alguns redirecionamentos
> de portas para alguns serviçoes locais (nao tenho uma DMZ ainda). Nas
> variaveis do snort tem
>
> var HOME_NET 192.168.0.0/24 -> rede local
> var EXTERNAL_NET any -> posso colocar minha rede externa ou deixo como "any"
> mesmo?
>
> E nessas variaveis tenho o seguinte
>
> var DNS_SERVERS $HOME_NET
> var SMTP_SERVERS $HOME_NET
> var HTTP_SERVERS $HOME_NET
>
> essas variaveis para filtrar esses serviços apontam para rede local correto?
> porem esses serviços estao em endereços externos meu DNS 200.x.x.x meu SMTP
> é 200.x.x.x porem é um binat pra uma maquina local e HTTP tenho na porta 80
> e 8080 porem 8080 é um redir para uma maquina local nestas variaveis coloco
> meus endereços externos ou mantenho do jeito que esta?
>
> Minha duvida alem destas acima é para filtrar os ataques/scans/etc tenho que
> rodar ele na interface externa correto? ja que parte dos serviços sao
> redirecionamentos e um binat ou o snort vai identificar e filtrar direto na
> interface externa usando essa conf a cima?
>
> Abraço a todos.
> Diogo Dalfovo
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>